A Fortinet népszerű webalkalmazás-tűzfala, a FortiWeb kritikus sérülékenységét már bárki kihasználhatja, mivel nyilvánosságra kerültek a kihasználási módszerek. A hiba (CVE-2025-25257) egy SQL beszúrási sérülékenység, amely lehetővé teszi, hogy a támadók a hitelesítés teljes megkerülésével tetszőleges kódot futtassanak a sebezhető szervereken – mindezt már egyetlen, rosszindulatúan formázott HTTP- vagy HTTPS-kéréssel. Fontos, hogy a Fortinet már kiadta a javításokat: a 7.6.4, 7.4.8, 7.2.11, 7.0.11-es vagy frissebb verziók védettek.
Hogyan működik a támadás?
A biztonsági hibát a FortiWeb “Fabric Connector” nevű komponensében találták, amely a különféle Fortinet-termékek közötti azonosítási adatokat és szabályokat szinkronizálja. Egy hibás SQL-lekérdezésen keresztül, konkrétan a get_fabric_user_by_token() függvényen belül, a támadó egy tudatosan manipulált Authorization fejlécen (pl.: Bearer AAAAAA’or’1’=’1) keresztül juttathatja be a rosszindulatú parancsot. Ez kezdetben csak adatszivárgást eredményezhet, de továbbfejlesztve a támadók tetszőleges Python-fájlt helyezhetnek el, amelyet aztán egy valódi FortiWeb CGI szkripten keresztül távolról futtathatnak.
Védd meg magad, mielőtt késő lenne!
Jelenleg nem ismert széles körű támadáshullám, de mivel a támadási leírások és példák már elérhetők, a helyzet bármelyik pillanatban megváltozhat. A felhőalapú támadások fejlődnek, de a sikerhez sokszor még mindig hihetetlenül egyszerű trükkök is elegendők. Minden rendszergazdának erősen ajánlott mielőbb frissíteni, hiszen a következő hullám bármelyik pillanatban elindulhat. A tapasztalatok szerint a felhőben dolgozó támadók is először az ilyen egyszerű sérülékenységekkel próbálkoznak, mielőtt bonyolultabb módszerekhez nyúlnának. Az ismert módszerekkel a támadás bárki számára gyerekjáték lett, ezért a frissítés most nem opcionális, hanem kötelező!
Egy tizenkilencedik századi kézirat került elő Rómában, amely igazi szenzációnak számít a nyelvészek és irodalomtudósok körében: a Trinity College Dublin kutatóinak sikerült azonosítani az egyik legkorábbi, ma ismert angol vers egyik legrégebbi változatát...
A Riválisok (Rivals) második évadának első három epizódja már elérhető a Hulu-n és a Disney+-on, viszont a rajongók csalódottan tapasztalhatják, hogy a szezon második felére idén még várni kell...
Érdemes megvizsgálni, hogy tényleg mindenáron kerülni kell-e a jojódiétát. Az évek óta tartó rettegés, miszerint az ismétlődő fogyás és visszahízás árthat az egészségnek, úgy tűnik, nem támasztható alá meggyőző tudományos bizonyítékokkal...
Egy Spanyolországban talált, 150 millió éves, elképesztően jól megmaradt sztégoszaurusz-koponya alapjaiban változtatja meg mindazt, amit eddig a dinoszauruszok fejlődéséről tudtunk...
A Kongói Demokratikus Köztársaság és Uganda területén kitört ebola-járványt vasárnap nemzetközi jelentőségű egészségügyi vészhelyzetnek minősítette az Egészségügyi Világszervezet...
A Survivor – Görögország (Survivor Greece) forgatását azonnali hatállyal leállították, miután egy fiatal versenyző, Stavros Floros életveszélyes balesetet szenvedett...
A technológiai átalakulás új korszakát éljük, ahol a fejlett algoritmusok már nemcsak támogatják, hanem egyre inkább kiváltják azokat a szakértői feladatokat, amelyekben az embereknek fejlődniük kellene...
A GameSir G8+ MFi jelentős előrelépés a mobil játékvezérlők világában, amely a G8 Galileo bevált tulajdonságait vette alapul, majd szinte minden kritikus ponton továbbfejlesztette azt...
Kételyek merültek fel, hogy a nemrég megjelent, Mixtape című történetközpontú játék hamarosan eltűnhet a digitális boltokból a zeneszámok licencproblémái miatt...
Hihetetlen, de mégis igaz, hogy az Egyesült Államokban működő adatközpontok évente annyi áramot fogyasztanak, amellyel több mint 16 millió otthon energiaigényét lehetne fedezni...
Kenya elképesztő technológiai ugrásra készült, amikor májusban bejelentették a G42 és a Microsoft közös, 1 milliárd dolláros adatközpont-beruházását...
Csak három évvel a megjelenése után végleg eltűnik a digitális boltok polcairól a LEGO 2K Gyorsulás (LEGO 2K Drive), az a nyílt világú versenyjáték, ahol saját építésű járgányaiddal száguldozhatsz...
😐 Ez a jelenség jól illusztrálható azzal, hogy ha egy alkotó bármilyen megjegyzést tesz egy legendás játék folytatásáról, az internetes rajongók azonnal az új rész bejelentését vizionálják...
Mi fűzte össze ezt a napot? Alkotmányok 📜, háborúk ⚔️ és történelmi első alkalmak 🚆 formálták a világot: Norvégia alkotmánya, a Boshin-háború lezárása, a Watergate-ügy nyilvános szenátusi meghallgatásai és az első legális azonos nemű házasságok mind ide kötődnek...
💪 Ami kezdetben ártalmatlannak tűnt, az utóbbi években jelentősen megváltozott: világszerte milliók home office-ba kényszerültek, ami alaposan átrajzolta, mit várunk el az irodabútortól...
A közelmúltban egy tengerjáró hajón történt hantavírus-kitörés miatt jelenleg mintegy 150 utast figyelnek meg, illetve akár hathetes karanténba is helyeznek...
🕵 Egy 17. századi marylandi temető különös titkot rejtett: egy mindössze nyolcéves fiú földi maradványait találták meg, aki túlnyomórészt afrikai származású volt...
Az agyunk működése mögötti titkos összetevőkre újabb fény vetült: amerikai kutatók felfedezték, hogy a tartós szorongással élőknél kimutathatóan kevesebb található egy létfontosságú agyi tápanyagból, amelyet az emberek többsége amúgy is hiányosan visz be...
